跟着信息工夫的赶快发展，集结环境日益复杂、安全步地片刻万变，集结安全威逼的范围在约束扩散，我国靠近的集结安全问题也越来越严峻。商用密码是保障集结空间安全的根人道核心工夫和基础撑持，因此，愈加圭臬和措施的管理和使用密码工夫就显得尤为进犯。达成这一标的的惟一路子是发展先进的密码评估工夫，并建立完善的密码检测和认证系统 [1] 。密码测评工夫已成为信息安全测评的进犯内容，它是构开国度信息安全测评认证体系的基础。本文先先容了近十几年信息安全领域日出不穷的安全事件，然后整理了我国为措施密码使用，在密码领域出台的关系法律规章，随后从商用密码应用安全性评估的角度，指出了信息系统密码应用要求，终末从测评主要内容、测评原则、测评风险和测评过程四个方面先容了商用密码应用安全性评估。

1 引 言

21 世纪以来，世界范围内迎来一场新的信息工夫改进，东说念主类社会信息化、数字化、集结化水平空前栽种，信息集结已经成为了宇宙乃至全世界的 “核心神经”。关联词跟着信息工夫越来越复杂，系统的脆弱性、破绽和安全风险也随之加多，受到的报复也越来越万般化。从多年前的 CSDN 密码库闪现事件，5000 多万 CSDN 集结账户密码被公开，到连年的 11 亿 8 千多万淘宝用户信息闪现事件，滴滴事件，incaseformat 蠕虫病毒大范围爆发事件，导致通盘非系统分区文献被删除，对用户形成了不成挽回的耗损。因此，作念好集结安全防护，措施有用的管理密码工夫就显得尤为进犯。

1996 年，我国指定了商用密码发展政策，咫尺已经在金融、保障、交通运载、电子政务等多个方面得到了时常的应用，关联词东说念主们常常会更多的感情系统的功大致不够强劲、性大致不够好，而忽略了其安全防护的问题。为了加强商用密码管理，国务院在 1999 年 10 月颁布了我国密码领域的第一部行政规章《商用密码管理条例》，并在随后出台了一系列保证商用密码安全的法律规章，直到 2020 年 1 月 1 日《中华东说念主民共和国密码法》精采践诺，标志着我国在密码的应用和管理等方面有了特意性的法律保障 [3]。

跟着我国密码关系规章的约束发展和完善，商用密码应用安全性评估应时而生并约束发展，《密码法》第二十七条 “法律、行政规章和国度关联章程要求使用商用密码进行保护的关节信息基础设施，其运营者应当使用商用密码进行保护，自行或者寄予商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关节信息基础设施安全检测评估、集结安全等第测评轨制相衔尾，幸免肖似评估、测评。” 因此，开展商用密码应用安全性评估是贯彻落实《密码法》的要求，是百行万企合规、正确和有用的使用密码，保障集结安全的关节。

2 信息安全乱象

跟着互联网赶快发展，集结安全步地愈发严峻，各式安全威逼来势汹汹，恐吓报复、数据闪现等各式安全事件日出不穷。

2011 年 8 月，黑客入侵了荷兰 CA 供应商 DigiNotar 的文凭奇迹器，并使用其开垦为 Google 和 Gmail 等网站刊行 SSL 伪造文凭，随后还欺诈文凭按捺了 HTTPS 流量，并监视了 30 多万东说念主。DigiNotar 因为这次报复被繁密浏览器开发商和操作系统开发商列为 “不受信任” 并歇业。这次报复使得繁密如 Google 这么的科技巨头更为警惕，随后全面调动了 SSL/TLS 文凭的通盘颁发过程，这其中的许多才能于今还在被使用。

2014 年，安全公司 Codenomicon 和谷歌安全工程师发现一个严重的安全破绽，Heartbleed。Heartbleed 安全破绽在 2012 年就被引入 OpenSSL 加密库，但直到 2014 年才被发现，该破绽还是公开表露很快就被欺诈，在 2014 年激勉了一系列报复，但直到今天，仍有许多系统还未装置有用补丁。

2016 年，雅虎在四个月内晓喻了两起数据闪现事件，先是在 9 月晓喻在 2014 年数据闪现事件中，5 亿用户的确实姓名、电子邮件地址和电话号码被闪现，在傍观这一事件的过程中，雅虎还追踪到 2013 年的一次安全破绽，并在 12 月份晓喻该破绽影响到了 10 亿用户，终末在 2017 年将数据更新为 30 亿。

2018 年 2 月，平昌冬奥会开幕式时间，主理方遭到黑客报复，奇迹器被入侵，为了驻守黑客进行下一走路动，主理方立即关闭集结奇迹器，系统宕机，直播结尾，不雅众无法打印门票进场。不异在 2018 年，万豪国外栈房 5 亿客户的谋划信息、护照号码、支付卡号以偏激他个东说念主信息被闪现，进步 1 亿客户的信用卡号被盗，该破绽 2014 年就存在并被黑客入侵，一直潜藏到 2018 年 9 月才被发现。在这么的配景下，对密码应用进行圭臬化和措施化管理就显得愈发进犯。

3 商用密码关系政策规章

为了促进商用密码应用的圭臬化和措施化，我国制定了一系列商用密码关系的法律规章。1999 年 10 月，国务院颁布了我国密码领域的第一部行政规章《商用密码管理条例》，它初次以国度行政规章体式明确了商用密码界说、管理机构和管理体制，同期对商用密码科研、分娩、销售、使用、安全守密等方面作念出了章程。

为了措施电子签名行为，确立电子签名的法律着力，珍重关联各方的正当权柄而制定的法律，2004 年 8 月 28 日宇宙东说念主大常务委员会会议通过《中华东说念主民共和国电子签名法》，该法赋权国度密码管理局对电子认证奇迹使用密码的行为照章实施管理，明确章程 “可靠的电子签名与手写签名或者盖印具有同等的法律着力”， 为我国信息化成立提供了进犯的法律轨制保障。

为加速鼓动信息安全等第保护，措施信息安全等第保护管理，栽种信息安全保障才略和水平，珍重国度安全、社会贯通和群众利益，保障和促进信息化成立，2007 年 6 月 22 日，公安部、国度守密局、国度密码管理局、原国务院信息化职责办公室和谐印发了《信息安全等第保护管理办法》，随后为合营《信息安全等第保护商用密码管理办法》的实施，进一步措施信息安全等第保护商用密码职责，2009 年 10 月 29 日国度密码管理局印发《信息安全等第保护商用密码管理办法实施见解》，章程 “第三级及以上信息系统的商用密码应用系统成立有接头应当通过密码管理部门组织的评审后方可实施”，“第三级及以上信息系统的商用密码应用系统，应当通过国度密码管理部门指定测评机构的密码测评后方可参加开动。密码测评包括费力审查、系统分析、现场测评、概括评估等”，这些轨制均明确了信息安全等第保护第三级及以上信息系统的商用密码应用要求。

为了鼓动集结基础设施成立和互联互通，热血龙城手游饱读吹集结工夫创新和应用，培养集结安全东说念主才，建立健全集结安全保障体系，国度制定并约束完善集结安全政策，2016 年 11 月 7 日，宇宙东说念主民代表大会常务委员会于发布《中华东说念主民共和国集结安全法》，自 2017 年 6 月 1 日起践诺。

2019 年 10 月 26 日十三届宇宙东说念主大常委会第十四次会议表决通过《中华东说念主民共和国密码法》，这标志着我国在密码的应用和管理等方面有了特意性的法律保障。《密码法》按照中央笃定的密码管理原则和应用政策，章程了密码应用的主要轨制和要求。其中明确了关节信息基础设施使用密码和进行密码应用安全性评估的要求，章程法律、行政规章和国度关联章程要求使用商用密码进行保护的关节信息设施，其运营者应当使用商用密码进行保护，自行或者寄予商用密码检测机构开展商用密码应用安全性评估。

4 信息系统密码应用要求

为了措施辅导和评估我国信息系统中密码应用的使用情况，国度密码管理局在 2018 年 2 月公布了 GM/T 0054-2018《信息系统密码应用基本要求》，该轨制是面向等第保护体系制定的，从物理和环境安全、集结和通讯安全、开垦和缱绻安全、应用和数据安全、密钥管理和安全管理六个方面制定了等第保护一至四级的密码应用要求。公安部于 2018 年 6 月 27 日发布《集结安全等第保护条例（征求见解稿）》，其中提议 “第三级以上集结运营者应在集结接头、成立和开动阶段，按照密码应用安全性评估管理办法和关系圭臬，寄予密码应用安全性测评机构开展密码应用安全性评估”。GM/T 0054 圭臬因而也成为密码应用安全性评估所解任的进犯圭臬。2021 年 3 月，GB/T 39786-2021《信息安全工夫 信息系统密码应用基本要求》精采发布，于 2021 年 10 月 1 日起精采实施，GB/T 39786-2021 比较 GM/T 0054，圭臬的内容愈加措施、要求愈加明确、逻辑愈加了了，而况对密评实施过程中出现的问题也作念了相应的改造，使得密评职责不错更有序、快速的鼓动。其中主要修改的内容有以下几个方面：

①GB/T 39786 将第三级对竣工性要求的料理进程由 “应” 解救为 “宜”，这么不错更好地与 GB/T 22239《集结安全等第保护要求》形成衔尾。

②GB/T 39786 对系统应配用的密码产物有了更明确的圭臬，关于第三级信息系统要求编削为 “应达到 GB/T 37092 二级及以上安全要求”，第四级信息系统仍然保管圭臬为 “应达到 GB/T 37092 三级及以上安全要求”。而 GM/T 0054 则要求第三、第四级信息系统均 “应选拔适合 GM/T 0028 的第三级及以上密码模块或通过国度密码管理部门圭臬的硬件密码产物”。

③GB/T 39786 密钥管理关系内容，在正文中只针对密钥的管理和使用提议了管感性质的要求，将密钥管理周期中触及到的关系工夫要求放在了附录 A。密钥生命周期的工夫性要求，在骨子上是对达成密钥产生、存储、分发、使用等功能的密码产物的要求，这些功能均由密码产物达成，而商用密码应用安全性评估是顺利信任商用密码产物认证文凭的，并不会对密码产物的具体达成进行肖似性检测，因此进行这么的调动是更合理的。

不同等第的信息系统密码应用要求略有不同，下文将以第三级密码应用基本要求为例，从物理和环境安全、集结和通讯安全、开垦和缱绻安全、应用和数据安全、管理轨制、东说念主员管理、成立开动、救急处理八个方面先容密码应用基本要求。

4.1 物理和环境安全密码应用要求

第三级要求包括：

a）宜选拔密码工夫进行物理造访身份辩认，保证进犯区域进入东说念主员身份的确实性；

这一水平明显低于英国(80.8岁)，也低于邻国加拿大(2020年为81.75岁)。

b）宜选拔密码工夫保证电子门禁系统出入纪录数据的存储竣工性；

c）宜选拔密码工夫保证视频监控音像纪录数据的存储竣工性；

d）以上如选拔密码奇迹，该密码奇迹应适正当律规章的关系要求，需照章经受检测认证的，应做生意用密码认证机构认证及格；

e）以上选拔的密码产物，应达到 GB/T 37092 二级及以上安全要求。

物理和环境安全是达成信息系统安全的基础，如果物理和环境安全受到了威逼，那么系统的物理开垦，系统中的进犯信息以及应用齐将会受到耗损。因此，物理和环境安全的要求主要有以下两方面：①身份辩认需求，使用密码工夫保证只消经授权的东说念主员才不错进入进犯局面，才可造访进犯开垦；②竣工性保护，使用密码工夫保证监控设施的视频纪录以及门禁出入纪录不被坏心改削。这么方可保护进犯开垦不被顺利入侵，达成预先震慑、事中监控、过后追责 [2]。

4.2 集结和通讯安全密码应用要求

第三级要求包括：

a）应选拔密码工夫对通讯实体进行身份辩认，武林盛典手游保证通讯实体身份的确实性；

b）宜选拔密码工夫保证通讯过程中数据的竣工性；

c）应选拔密码工夫保证通讯过程中进犯数据的奥秘性；

d）宜选拔密码工夫保证集结界限造访为止信息的竣工性；

e）可选拔密码工夫对从外部勾通到里面集结的开垦进行接入认证，确保接入的开垦身份确实性；

f）以上如选拔密码奇迹，该密码奇迹应适正当律规章的关系要求，需照章经受检测认证的，应做生意用密码认证机构认证及格；

g）以上选拔的密码产物，应达到 GB/T 37092 二级及以上安全要求。

信息系统达成与外界的互通需要通过集结，而集结和通讯安全层面的主若是使用密码工夫保护集结通讯信说念的安全。如果集结层和传输层使用了安全通讯条约，就应使用适合我国密码行业圭臬的通讯条约，使用国密算法套件。如果未使用安全通讯条约，系统背负单元应将全体工夫有接头，包括工夫路子、密码条约、产物选型等内容，提交至国度密码管理部门进行安全审查后方可使用。

4.3 开垦和缱绻安全密码应用要求

第三级要求包括：

a）应选拔密码工夫对登录开垦的用户进行身份辩认，保证用户身份的确实性；

b）资料管理开垦时，应选拔密码工夫建立安全的信息传输通说念；

c）宜选拔密码工夫保证系统资源造访为止信息的竣工性；

d）宜选拔密码工夫保证开垦中的进犯信息资源安全象征的竣工性；

e）宜选拔密码工夫保证日记纪录的竣工性；

f）宜选拔密码工夫对进犯可执行才能进行竣工性保护，并对其着手进行确实性考据；

g）以上如选拔密码奇迹，该密码奇迹应适正当律规章的关系要求，需照章经受检测认证的，应做生意用密码认证机构认证及格；

h）以上选拔的密码产物，应达到 GB/T 37092 二级及以上安全要求。

开垦和缱绻安全主若是对开垦中的造访为止信息、进犯信息资源安全象征、日记纪录、进犯可执行才能等提议安全要求。其骨子是保证密码工夫的开动和缱绻环境安全，主要针对的开垦有两种，一种是密码产物，另一种是通用开垦。密码产物本身可顺利完成密钥管理和密码缱绻，只消其具有商用密码产物认证文凭，即通过国度密码管理部门审批或由具备经验的机构检测认证及格，其安全性就不错得到保证。而通用开垦则需要通过使用内置密码部件（如加密硬盘、密码卡等）或智能密码钥匙以及奇迹器密码机来达成开垦和缱绻安全 [4]。

4.4 应用和数据安全密码应用要求

第三级要求包括：

a）应选拔密码工夫对登托福户进行身份辩认，保证应用系统用户身份的确实性；

b）宜选拔密码工夫保证信息系统应用的造访为止信息的竣工性；

c）宜选拔密码工夫保证信息系统应用的进犯信息资源安全象征的竣工性；

d）应选拔密码工夫保证信息系统应用的进犯数据在传输过程中的奥秘性；

e）应选拔密码工夫保证信息系统应用的进犯数据在存储过程中的奥秘性；

f）宜选拔密码工夫保证信息系统应用的进犯数据在传输过程中的竣工性；

g）宜选拔密码工夫保证信息系统应用的进犯数据在存储过程中的竣工性；

h）在可能触及法律背负认定的应用中，宜选拔密码工夫提供数据原发左证和数据接管左证，达成数据原刊行为的不成否定性和数据接管行为的不成否定性；

i）以上如选拔密码奇迹，该密码奇迹应适正当律规章的关系要求，需照章经受检测认证的，应做生意用密码认证机构认证及格；

j）以上选拔的密码产物，应达到 GB/T 370921 二级及以上安全要求。

应用和数据安全主若是针对系统中的关节业务和进犯数据提议的安全要求，是密码保护集结安全的最终层面。尽管在集结和通讯安全以及开垦和缱绻安全以及提供了安全防护，但仍有一些业务应用系统需要独特保护。这种多端倪的深度防卫在单层安全机制失效时不错弘扬相等有用的作用。

4.5 管理轨制密码应用要求

第三级要求包括：

a）应具备密码应用安全管理轨制，包括密码东说念主员管理、密钥管理、成立开动、救急贬责、密码软硬件及介质管理等轨制；

b）应根据密码应用有接头建立相应密钥管理公法；

c）应酬管理东说念主员或操作主说念主员执行的日常管理操作建立操作规程；

d）应如期对密码应用安全管理轨制和操作规程的合感性和适用性进行论证和核定，对存在不及或需要改进之处进行改造；

e）应明确关系密码应用安全管理轨制和操作规程的发布过程并进行版块为止；

f）应具有密码应用操作规程的关系执行纪录并妥善保存。

4.6 东说念主员管理密码应用要求

第三级要求包括：

a）关系东说念主员应了解并投诚密码关系法律规章、密码应用安全管理轨制；

b）应建立密码应用岗亭背负轨制，明确各岗亭在安全系统中的职责和权限：

1）根据密码应用的推行情况，辅助密钥管理员、密码安全审计员、密码操作员等关节安全岗亭；

2）对关节岗亭建立多东说念主共管机制；

3）密钥管理、密码安全审计、密码操作主说念主员职责相互制约相互监督，其中密码安全审计员岗亭不成与密钥管理员、密码操作员兼任；

4）关系开垦与系统的管理和使用账号不得多东说念主共用。

c）应建立上岗东说念主员培训轨制，关于触及密码的操作和管理的东说念主员进行特意培训，确保其具备岗亭所需专科妙技；

d）应如期对密码应用安全岗亭东说念主员进行侦查；

e）应建立关节东说念主员守密轨制和调离轨制，缔结守密合同，承担守密义务。

4.7 成立开动密码应用要求

第三级要求包括：

a）应依据密码关系圭臬和密码应用需求，制定密码应用有接头；

b）应根据密码应用有接头。笃定系统触及的密钥种类、体系偏激活命周期环行，各环力密钥管理要求参照附录 B；

c）应按照拂用有接头实施成立；

d）参加开动前应进行密码应用安全性评估，评估通过后系统方可精采开动；

e）在开动过程中，应严格执行既定的密码应用安全管理轨制，应如期开展密码应用安全性评估及攻防叛逆演习，并根据评估效果进行整改。

4.8 救急处理密码应用要求

第三级要求包括：

a）应制定密码应用救急策略，作念好救急资源准，当密码应用安全事件发生时，应立即启动救急贬责措施，结合推行情况实时贬责；

b）事件发生后，应实时向信息系统摆布部门进行答复；

c）事件贬责完成后，应实时向信息系统摆布部门及包摄的密码管理部门答复事件发生情况及贬责情况。

5 商用密码应用安全性评估

5.1 密评职责的主要内容

密码测评是指对选拔了商用密码工夫、产物和奇迹集成成立的集结和信息系统，按照商用密码管理政策和关系密码圭臬，对其密码应用的合规性、正确性、有用性进行评估。

5.1.1 合规性要求

合规性要求主若是指信息系统中所使用的密码算法、密码工夫、密码条约、密码产物、密码奇迹等必须舒适《商用密码管理条例》等密码关系圭臬措施和要求，选拔适合国度密码规章的密码算法，如 ZUC、SM2、SM3、SM4、SM9 等；选拔通过国度密码管理部门核准的密码产物和密码模块；选拔通过国度密码管理部门许可的密码奇迹；按照关系圭臬政策规章进行密码应用有接头想象。

5.1.2 正确性要求

由于信息系统的复杂性和万般性，其靠近的报复阵势亦然多万般种的。在面对不同的信息系统时，应使用适合系统安全要求的密码算法、密码工夫、密码产物和密码奇迹，对系统中的明锐数据进行保护，在改造或成立密码保障系统的过程中，正确的进行密码产物和奇迹的部署。

5.1.3 有用性

信息系统并不是一成不变的，因此，系统中选拔的密码条约、密钥管理体系以及密码安全防护机制等不仅在想象接头时要合理有用，在成立开动时也要保证密码应用永久有用，在进行应用修改、树立管理解救等动态变化时，更宽敞跟系统变化进行安全评估，保证弘扬密码效用，达成密码应用的系统安全、体系安全和动态安全 [5]。

5.2 密码测评基本原则

（1）客不雅平正原则

在进行测评时，测评方必须确保在最少的主不雅判断情况下，且测评有接头需被测方认同，测评形势需明确界说的条款下开展测评职责。

（2）经济性和可复用性原则

测评职责不错复用商用密码产物检测效果和商用密码应用安全性评估测评效果。所复用的测评效果应该以效果适用于待测系统为前提，而况需要大致客不雅反映面前系统的安全状态。

（3）可肖似性和可再现性原则

使用不异的测评阵势，在不异的测评要乞降测评环境下，不同测评机构的测评效果应该调换，且关于每个测评过程进行肖似执行齐应得到调换的效果。

5.3 测评风险

（1）考据测试可能影响系统正常开动

在测评过程中需要对系统和开垦进行测评职责，针对测评内容需要上机对信息进行检讨，可能会对系统的开动产生影响。

（2）器具测试可能影响系统正常开动

在现场测评过程中，需要使用测评器具对系统进行测试，而测评器具在使用过程中可能会产生冗尾数据的写入，从而对系统的负载形成一定影响，进而对系统的通讯以致奇迹器形成影响。

（3）可能导致明锐信息闪现

在测评过程中，系统中的明锐信息如业务过程、用户明锐信息、加密机制以及奥秘文档可能会遭到闪现。

（4）其他可能靠近的风险

在测评过程中，也有可能会出现影响信息系统的可用性、守密性和竣工性的风险。

5.4 密码测评过程

5.4.1 测评准备行为

测评准备行为主要的办法是顺利启动测评神气，以便接下来测评有接头的编制。测评准备行为包括神气启动、信息网罗和分析、器具和表单准备三项主要职责。

（1）神气启动

在神气启动任务中，测评方根据两边缔结的寄予测评条约书和系统范围，挑选东说念主员组建测评神气组，并编制神气接头书，神气接头书应该包括神气概述、职责依据、工夫想路、职责内容和神气组织等，还需获取被测单元及信息系统的基本情况，从东说念主员、接头安排、基本费力等方面为神气作念准备。

测评方还需要寄予单元提交一些基本信息，其中包括被测系统的总体刻画、安全管理轨制文献、密钥管理轨制、关系过程管理纪录、测评寄予单元信息化成立与发展景况及和谐形势、安全保护等第定级答复、系统验收答复、安全需求分析答复、安全总体有接头、自查或前次测评答复等材料。

（2）信息网罗和分析

测评方通过查阅被测系统关系费力或者使用已有傍观表格的形势，对通盘系统的密码使用情况进行傍观，为撰写测评有接头以及现场测评提供基础。若傍观表格填写不准确或出现相互矛盾，测评方应进行现场傍观，以阐述正确的调研信息。

（3）器具和表单准备

测评东说念主员在进行现场测评之前，应笃定和熟练关系测评器具、并准备各式表单，如风险奉告书、现场测评授权书、会议纪录表单、会议签到表单等。

5.4.2 有接头编制行为

有接头编制行为主若是为了对测评准备行为中的费力进行归纳和整理，并拟定出测评有接头，为现场测评职责提供辅导有接头和措施性文献。有接头编制行为主要包括测评对象笃定、测评标的笃定、测试检验点笃定、测评内容笃定及测评有接头编制五项主要职责。

（1）测评对象笃定

领先根据傍观表格以及现场傍观，获取被测系统的基本情况，包括其集结界限、安全开垦、密码产物、物理环境、集结拓扑图结构与集结界限、业务应用系统等，偏激密码使用情况。随后根据上述信息，以集结拓扑图为基础对被测系统进行刻画。随后测评方需要根据被测系统的基本情况，来阐述系统的核心钞票、开垦和组件的情况，并对钞票的价值进行认定，最终笃定测评对象，包括物理和环境、业务应用软件、主机和奇迹器、数据库、集结安全开垦、密码产物以及密码管理文档等，并以列表的体式对开垦称呼、用途、信息等进行刻画。

（2）测评标的笃定

根据被测系统的定级效果，《信息系统密码测评要求》中相应等第对应的测评标的以及系统的推行情况，对系统通盘的不适用项偏激具体情况进行阐述和检验评估，并详备陈说其安全需乞降不适用的原因。

（3）测试检验点笃定

在测评过程中，需要对关节开垦及关节业务进行持包测试、检讨关节开垦树立，以检讨其使用的密码算法、密码工夫及密钥管理是否是通过国度密码管理部门认证或行业摆布部门认同的。测试的检验点需要在编制测评形势时笃定。

（4）测评内容笃定

将测评标的、测评对象、测评阵势根据《信息系统密码应用基本要求》和《信息系统密码测评要求》结合起来，并简要编制各个测评单元相应的现场测评测试内容。

（5）测评有接头编制

汇总神气概述、测评对象、测评标的、测试检验点、单元测评实施以偏激他内容，形成测评有接头。

5.4.3 现场测评行为

（1）现场测评准备

阐述测评器具、现场测评需要的资源，寄予单元的合营东说念主员以及提供的测评条款等，并签署现场测评授权书。

（2）现场测评和效果纪录

测评方安排测评东说念主员在商定的时间段内，通过对被测系统的器具测试、树立审查、文档审查、实地检讨以及关系东说念主员访谈的形势对被测系统进行现场测评，并将测评效果纪录表格。

（3）效果阐述和费力返璧

现场测评完成后，测评东说念主员汇总现场测评纪录并检验是否有遗漏，并交由寄予单元阐述署名，终末将借阅的通盘文档费力以及安全开垦返璧。

5.4.4 分析与答复编制行为

（1）单项测评效果判定

该职责的办法是将评价标的中的单个测评项与特定的测评对象相结合，对测评左证进行客不雅、准确的分析，从而得出一个初步的单项测评效果以及分数。单项测评效果是测驳斥断的依据。

（2）单元测评效果判定

该任务主要所以将单项测评效果按不同的测评层面进行汇总，从而得出单元测评效果和分数。

（3）全体测评

该任务主若是将单元测评效果进行汇总，得出全体测评效果以及终末的分数。

（4）风险分析

测评东说念主员根据信息系统密码应用的关系措施额圭臬，结合单项测评效果与单元测评效果，对信息系统中可能出现的安全威逼进行风险分析。

（5）测驳斥断形成

对测评效果汇总表格、全体测评分数以及风险分析效果进行分析，若测评效果中通盘测评项均为适合，信息系统未发现安全问题，则测驳斥断为适合；若信息系统中存在安全问题，概括得分小于 100 分不低于 60 分，且系统的密码应用无高风险，则测驳斥断为部分适合；若信息系统中存在安全问题，概括得分低于 60 分或者密码应用存在高风险，则测驳斥断为不适合。

（6）测评答复编制

将概述、被测信息系统刻画、测评对象评释、测评标的评释、测评内容和阵势评释、单元测评、全体测评、测评效果汇总、风险分析和评价、测驳斥断、整改建议等内容进行汇总，编制成测评答复 [5]。

6 收尾语

跟着信息安全产业的茂密发展，密码工夫在政务、金融、教师、医疗卫生、群众奇迹以及关节信息基础设施等诸多领域的保障作用日益突显。咫尺世界正处于百年未有之大变局，密码工夫行为信息安全的基础撑持和核心工夫，已成为列国政府和国外组织感情的重心。因此，发展密码测评，措施密码工夫的使用，栽种集结与信息系统密码应用的合规性、有用性、正确性，是保障我国集结空间安全、珍重国度安全的势必需求。

————————————————

原文作家：张涛 唐发明

转自不时：https://www.wangan.com/p/7fy7fg77dd779e25

版权声明：著述权归作家通盘。营业转载请谋划作家赢得授权武林盛典手游，非营业转载请保留以上作家信息和原文不时。

密码工夫密钥信息系统系统发布于：北京市声明：该文不雅点仅代表作家本东说念主，搜狐号系信息发布平台，搜狐仅提供信息存储空间奇迹。